Azure AD Connect 同期: 運用タスクと考慮事項 - Microsoft Entra (2023)

ステージング モードのサーバーでは、サーバーをアクティブにする前に構成に変更を加え、変更をプレビューできます。また、実稼働環境にこれらの変更を加える前に、完全インポートと完全同期を実行して、すべての変更が予期されるものであることを確認することもできます。

ステージングモード

ステージング モードは、次のようないくつかのシナリオで使用できます。

• 高可用性。
• 新しい構成変更をテストして展開します。
• 新しいサーバーを導入し、古いサーバーを廃止します。

インストール中に、配置するサーバーを選択できます。ステージングモード。このアクションにより、サーバーはインポートと同期に対してアクティブになりますが、エクスポートは実行されません。ステージング モードのサーバーは、インストール時にパスワード同期やパスワード ライトバックを選択した場合でも、これらの機能を実行しません。ステージング モードを無効にすると、サーバーはエクスポートを開始し、パスワード同期が有効になり、パスワード ライトバックが有効になります。

同期サービス マネージャーを使用して、エクスポートを強制することもできます。

ステージング モードのサーバーは、Active Directory および Azure AD から変更を受け取り続け、障害が発生した場合には、すぐに別のサーバーの責任を引き継ぐことができます。プライマリ サーバーの構成を変更する場合は、ステージング モードのサーバーに同じ変更を加えるのはユーザーの責任です。

古い同期テクノロジについての知識がある方のために説明すると、サーバーには独自の SQL データベースがあるため、ステージング モードは異なります。このアーキテクチャにより、ステージング モード サーバーを別のデータセンターに配置できます。

サーバーの構成を確認する

この方法を適用するには、次の手順に従います。

1. 準備
2. 構成
3. インポートと同期
4. 確認
5. アクティブサーバーを切り替える

準備

1. Azure AD Connect をインストールし、選択しますステージングモード、選択を解除します同期を開始するインストール ウィザードの最後のページにあります。このモードでは、同期エンジンを手動で実行できます。
2. サインオフ/サインインし、スタート メニューから選択します同期サービス。

構成

プライマリ サーバーにカスタム変更を加え、その構成をステージング サーバーと比較したい場合は、次を使用します。Azure AD Connect 構成文書作成者。

インポートと同期

1. 選択するコネクタをクリックし、次のタイプの最初のコネクタを選択します。Active Directory ドメイン サービス。クリック走る、 選択する完全インポート、 とOK。このタイプのすべてのコネクタに対してこれらの手順を実行します。
2. コネクタの種類を選択してくださいAzure Active Directory (マイクロソフト)。クリック走る、 選択する完全インポート、 とOK。
3. [コネクタ] タブがまだ選択されていることを確認してください。タイプのコネクタごとにActive Directory ドメイン サービス、 クリック走る、 選択するデルタ同期、 とOK。
4. コネクタの種類を選択してくださいAzure Active Directory (マイクロソフト)。クリック走る、 選択するデルタ同期、 とOK。

これで、Azure AD とオンプレミス AD (Exchange ハイブリッド デプロイを使用している場合) への段階的なエクスポート変更が完了しました。次の手順では、実際にディレクトリへのエクスポートを開始する前に、何が変更されるかを検査できます。

確認

1. コマンドプロンプトを起動して、次の場所に移動します。%ProgramFiles%\Microsoft Azure AD Sync\bin
2. 走る：csexport "コネクタの名前" %temp%\export.xml /f:xコネクタの名前は、同期サービスで確認できます。 Azure AD の「contoso.com – Azure AD」に似た名前が付いています。
3. 走る：CSExportAnalyzer %temp%\export.xml > %temp%\export.csv%temp% に、Microsoft Excel で調べることができる、export.csv という名前のファイルがあります。このファイルには、エクスポートされるすべての変更が含まれています。
4. データまたは構成に必要な変更を加え、エクスポートされる変更が期待どおりになるまで、これらの手順 (インポート、同期、検証) を再度実行します。

export.csv ファイルについて

ファイルの大部分は説明不要です。内容を理解するための略語:

• OMODT – オブジェクト変更タイプ。オブジェクト レベルでの操作が追加、更新、または削除であるかどうかを示します。
• AMODT – 属性変更タイプ。属性レベルでの操作が追加、更新、または削除であるかどうかを示します。

共通識別子の取得

export.csv ファイルには、エクスポートされるすべての変更が含まれています。各行はコネクタ スペース内のオブジェクトの変更に対応し、オブジェクトは DN 属性によって識別されます。 DN 属性は、コネクタ スペース内のオブジェクトに割り当てられる一意の識別子です。分析するエクスポート.csv に多くの行や変更がある場合、DN 属性のみに基づいて変更がどのオブジェクトに対するものであるかを把握するのが難しい場合があります。変更を分析するプロセスを簡素化するには、csanalyzer.ps1PowerShell スクリプト。このスクリプトは、オブジェクトの共通の識別子 (displayName、userPrincipalName など) を取得します。スクリプトを使用するには:

1. セクションから PowerShell スクリプトをコピーします。CSAアナライザーという名前のファイルにcsanalyzer.ps1。
2. PowerShell ウィンドウを開き、PowerShell スクリプトを作成したフォルダーを参照します。
3. 走る：.\csanalyzer.ps1 -xmltoimport %temp%\export.xml。
4. これで、という名前のファイルができました処理済みユーザー1.csvMicrosoft Excel で調べることができます。このファイルは、DN 属性から共通の識別子 (displayName や userPrincipalName など) へのマッピングを提供することに注意してください。現時点では、エクスポートされる実際の属性変更は含まれていません。

アクティブサーバーを切り替える

Azure AD Connect はアクティブ/パッシブ高可用性セットアップでセットアップできます。このセットアップでは、1 つのサーバーが同期された AD オブジェクトへの変更を Azure AD にアクティブにプッシュし、パッシブ サーバーが引き継ぐ必要がある場合にこれらの変更をステージングします。

ステージング モードでの Azure AD Connect 同期サーバーのセットアップの詳細については、「ステージング モード」を参照してください。ステージングモード

Azure AD Connect のバージョンをアップグレードする場合や、同期サービスの正常性サービスが最新の情報を受信して​​いないというアラートを受信する場合など、さまざまな理由で同期サーバーのフェールオーバーを実行する必要がある場合があります。これらのイベントでは、以下の手順に従って同期サーバーのフェイルオーバーを試みることができます。

前提条件

• 現在アクティブな 1 つの Azure AD Connect 同期サーバー
• 1 つのステージング Azure AD Connect 同期サーバー

現在の Active Sync サーバーをステージング モードに変更します

このプロセス全体を通じて、常に 1 つの同期サーバーのみが変更を同期していることを確認する必要があります。現在アクティブな同期サーバーにアクセスできる場合は、以下の手順を実行してステージング モードに移行できます。アクセスできない場合は、サーバーをシャットダウンするか送信接続から隔離することで、サーバーまたは VM が予期せずアクセスを回復しないようにしてください。

1. 現在アクティブな Azure AD Connect サーバーの場合は、Azure AD Connect ウィザードを開き、[ステージング モードの構成] をクリックして、[次へ] をクリックします。

   

2. グローバル管理者またはハイブリッド ID 管理者の資格情報を使用して Azure AD にサインインする必要があります。

   

3. [ステージング モード] のボックスにチェックを入れて、[次へ] をクリックします。

   

4. Azure AD Connect サーバーは、インストールされているコンポーネントを確認し、構成の変更が完了したら同期プロセスを開始するかどうかを尋ねるメッセージを表示します。

   

サーバーはステージング モードになるため、Azure AD への変更は書き込まれませんが、AD への変更はコネクタ スペースに保持され、書き込む準備ができています。
サーバーの同期プロセスはステージング モードのままにしておくことが推奨されます。そのため、同期プロセスがアクティブになるとすぐに引き継ぎ、AD/Azure AD の現在の状態に追いつくために大規模な同期を行う必要がなくなります。スコープ内のオブジェクト。

5. 同期プロセスの開始を選択し、[構成] をクリックすると、Azure AD Connect サーバーがステージング モードに構成されます。
   これが完了すると、ステージング モードが有効であることを確認する画面が表示されます。
   「終了」をクリックして終了します。

6. 次のコマンドを使用して、Windows PowerShell を開いて「ADSync」モジュールをロードし、ADSync スケジューラの構成を確認することで、サーバーが正常にステージング モードになっていることを確認できます。

インポートモジュール ADSyncGet-ADSyncScheduler

結果から、「StagingModeEnabled」設定の値を確認します。サーバーがステージング モードに正常に切り替えられた場合、この設定の値は次のようになります。真実以下の例のように:

現在のステージング同期サーバーをアクティブ モードに変更します

この時点で、すべての Azure AD Connect 同期サーバーはステージング モードになり、変更はエクスポートされません。これで、ステージング同期サーバーをアクティブ モードに移行し、変更をアクティブに同期できるようになります。

1. 次に、元々ステージング モードだった Azure AD Connect サーバーに移動し、Azure AD Connect ウィザードを開きます。

   「ステージング モードの構成」をクリックし、「次へ」をクリックします。

   

   ウィザードの下部にあるメッセージは、このサーバーがステージング モードであることを示しています。

2. Azure AD にサインインし、ステージング モード画面に移動します。

   [ステージング モード] のボックスのチェックを外し、[次へ] をクリックします。

   

   このページの警告に従って、他の Azure AD Connect サーバーがアクティブに同期していないことを確認することが重要です。

   アクティブな Azure AD Connect 同期サーバーは常に 1 つだけである必要があります。

3. 同期プロセスを開始するように求められたら、このボックスにチェックを入れて、「構成」をクリックします。

   

4. プロセスが完了すると、以下の確認画面が表示されるので、「終了」をクリックして終了します。

   

5. これが機能していることを確認するには、同期サービス コンソールを開いてエクスポート ジョブが実行されているかどうかを確認します。

   

災害からの回復

実装設計の一部として、同期サーバーを失う災害が発生した場合の対処方法を計画することが含まれます。使用するモデルは複数あり、どれを使用するかは、次のようないくつかの要因によって異なります。

• ダウンタイム中に Azure AD 内のオブジェクトに変更を加えることができないことに対する許容範囲はどれくらいですか?
• パスワード同期を使用する場合、ユーザーはオンプレミスで変更する場合に備えて Azure AD で古いパスワードを使用する必要があることを受け入れますか?
• パスワード ライトバックなどのリアルタイム操作に依存していますか?

これらの質問に対する答えと組織のポリシーに応じて、次の戦略のいずれかを実装できます。

• 必要に応じて再構築します。
• 予備のスタンバイ サーバーを用意します。ステージングモード。
• 仮想マシンを使用します。

組み込みの SQL Express データベースを使用しない場合は、次の内容も確認する必要があります。SQL の高可用性セクション。

必要に応じて再構築する

実行可能な戦略は、必要に応じてサーバーの再構築を計画することです。通常、同期エンジンのインストールと最初のインポートと同期は数時間以内に完了します。利用可能な予備サーバーがない場合は、ドメイン コントローラーを一時的に使用して同期エンジンをホストすることができます。

同期エンジン サーバーはオブジェクトに関する状態を保存しないため、Active Directory と Azure AD のデータからデータベースを再構築できます。のソースアンカー属性は、オンプレミスとクラウドのオブジェクトを結合するために使用されます。オンプレミスおよびクラウドの既存のオブジェクトを使用してサーバーを再構築すると、再インストール時に同期エンジンがそれらのオブジェクトを再度照合します。文書化して保存する必要があるのは、フィルタリングや同期ルールなど、サーバーに加えられた構成の変更です。これらのカスタム構成は、同期を開始する前に再適用する必要があります。

予備のスタンバイ サーバーを用意する - ステージング モード

より複雑な環境の場合は、1 つ以上のスタンバイ サーバーを用意することをお勧めします。インストール中に、サーバーを有効にすることができます。ステージングモード。

詳細については、を参照してください。ステージングモード。

仮想マシンを使用する

サポートされている一般的な方法は、仮想マシンで同期エンジンを実行することです。ホストに問題がある場合は、同期エンジン サーバーを持つイメージを別のサーバーに移行できます。

SQL の高可用性

Azure AD Connect に付属の SQL Server Express を使用していない場合は、SQL Server の高可用性も考慮する必要があります。サポートされている高可用性ソリューションには、SQL クラスタリングと AOA (Always On Availability Groups) が含まれます。サポートされていないソリューションにはミラーリングが含まれます。

SQL AOA のサポートは、バージョン 1.1.524.0 の Azure AD Connect に追加されました。 Azure AD Connect をインストールする前に、SQL AOA を有効にする必要があります。インストール中に、Azure AD Connect は、提供された SQL インスタンスが SQL AOA に対して有効かどうかを検出します。 SQL AOA が有効になっている場合、Azure AD Connect は、SQL AOA が同期レプリケーションを使用するように構成されているか、非同期レプリケーションを使用するように構成されているかをさらに判断します。可用性グループ リスナーを設定するときは、RegisterAllProvidersIP プロパティを 0 に設定する必要があります。 これは、Azure AD Connect は現在 SQL ネイティブ クライアントを使用して SQL に接続しており、SQL ネイティブ クライアントは MultiSubNetFailover プロパティの使用をサポートしていないためです。

付録 CSAnalyzer

セクションを参照してください確認このスクリプトの使用方法について説明します。

Param([Parameter(Mandatory=$true, HelpMessage="csexport「コネクタの名前」export.xml /f:x) を使用して生成されたファイルである必要があります")][string]$xmltoimport="%temp%\exportedStage1a.xml ",[Parameter(Mandatory=$false, HelpMessage="出力ファイルごとの最大ユーザー数")][int]$batchsize=1000,[Parameter(Mandatory=$false, HelpMessage="コンソール出力を表示")][bool ]$showOutput=$false)#LINQ は自動的に読み込まれないため、強制的に読み込まれます[Reflection.Assembly]::Load("System.Xml.Linq, Version=3.5.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089") | Out-Null[int]$count=1[int]$outputfilecount=1[array]$objOutputUsers=@()#XML は、「csexport "コネクタの名前" export.xml /f:x"write-host」を使用して生成する必要があります「XML のインポート」 -ForegroundColor Yellow#XmlReader.Create ではファイルの場所が適切に解決されないため、#展開してから解決します$resolvedXMLtoimport=Resolve-Path -Path ([Environment]::ExpandEnvironmentVariables($xmltoimport))#大きなファイルも処理できる XmlReader$result=$reader=[System.Xml.XmlReader]::Create($resolvedXMLtoimport)$result=$reader.ReadToDescendant('cs-object')if($result){do{#オブジェクトのプレースホルダーを作成します#ここに追加するということは、一貫性を強制できることを意味します$objOutputUser=New-Object psobjectAdd-Member -InputObject $objOutputUser -MemberType NoteProperty -Name ID -Value ""Add-Member -InputObject $objOutputUser -MemberType NoteProperty -Name Type -Value ""Add-Member -inputobject $objOutputUser -MemberType NoteProperty -Name DN -Value ""Add-Member -inputobject $objOutputUser -MemberType NoteProperty -Name 操作 -Value ""Add-Member -inputobject $objOutputUser -MemberType NoteProperty -Name UPN -Value ""Add-Member -inputobject $objOutputUser -MemberType NoteProperty -Name displayName -Value ""Add-Member -inputobject $objOutputUser -MemberType NoteProperty -Name sourceAnchor -Value ""Add-Member -inputobject $objOutputUser -MemberType NoteProperty -名前のエイリアス -Value ""Add-Member -inputobject $objOutputUser -MemberType NoteProperty -Name PrimarySMTP -Value ""Add-Member -inputobject $objOutputUser -MemberType NoteProperty -Name onPremisesSamAccountName -Value ""Add-Member -inputobject $objOutputUser -MemberType NoteProperty -Name mail -Value ""$user = [System.Xml.Linq.XElement]::ReadFrom($reader)if ($showOutput) {Write-Host エクスポートされたオブジェクトが見つかりました... -ForegroundColor Green}#object id$ outID=$user.Attribute('id').Valueif ($showOutput) {書き込みホスト ID: $outID}$objOutputUser.ID=$outID#object type$outType=$user.Attribute('object-type') .Valueif ($showOutput) {書き込みホスト タイプ: $outType}$objOutputUser.Type=$outType#dn$outDN= $user.Element('unapplied-export').Element('delta').Attribute('dn ').Valueif ($showOutput) {書き込みホスト DN: $outDN}$objOutputUser.DN=$outDN#operation$outOperation= $user.Element('unapplied-export').Element('delta').Attribute( 'operation').Valueif ($showOutput) {ホスト書き込みオペレーション: $outOperation}$objOutputUser.operation=$outOperation#基本はできたので、各詳細を取得します ($attr in $user.Element('unapplied-エクスポートホログラム').Element('エントリ').Elements("attr")){$attrvalue=$attr.Attribute('name').Value$internalvalue= $attr.Element('value').Valueswitch ( $attrvalue){"userPrincipalName"{if ($showOutput) {書き込みホスト UPN: $internalvalue}$objOutputUser.UPN=$internalvalue}"displayName"{if ($showOutput) {書き込みホスト displayName: $internalvalue}$objOutputUser .displayName=$internalvalue}"sourceAnchor"{if ($showOutput) {書き込みホストのsourceAnchor: $internalvalue}$objOutputUser.sourceAnchor=$internalvalue}"alias"{if ($showOutput) {書き込みホストのエイリアス: $internalvalue} $objOutputUser.alias=$internalvalue}"proxyAddresses"{if ($showOutput) {書き込みホストのprimarySMTP: ($internalvalue -replace "SMTP:","")}$objOutputUser.primarySMTP=$internalvalue -replace "SMTP:" ,""}}}$objOutputUsers += $objOutputUserWrite-Progress -activity "${batchsize} のバッチで ${xmltoimport} を処理しています" -status "バッチ ${outputfilecount}: " -percentComplete (($objOutputUsers.Count / $バッチサイズ) * 100)#時々、どこかで爆発した場合に備えて、処理されたユーザーをダンプしますif ($count % $batchsize -eq 0){Write-Host 完了せずに処理された最大ユーザー数に達します... -ForegroundColor Yellow#export CSVWrite-Host としてのユーザーのコレクションの書き込み処理済みユーザー${outputfilecount}.csv -ForegroundColor Yellow$objOutputUsers | Export-Csv -pathprocessedusers${outputfilecount}.csv -NoTypeInformation#出力ファイルをインクリメントします counter$outputfilecount+=1#コレクションとユーザーをリセットします counter$objOutputUsers = $null$count=0}$count+=1#保釈する必要があります処理するユーザーがもういない場合はループから外れますif ($reader.NodeType -eq [System.Xml.XmlNodeType]::EndElement){break}} while ($reader.Read)#処理しなかったユーザーを書き出す必要があります1000 のバッチで取得#CSV としてユーザーのコレクションをエクスポートWrite-Host 書き込み処理済みユーザー ${outputfilecount}.csv -ForegroundColor Yellow$objOutputUsers | Export-Csv -pathprocessedusers${outputfilecount}.csv -NoTypeInformation}else{ Write-Host "インポートされた XML ファイルは空です。何もする必要はありません。" -ForegroundColor 赤}

次のステップ

概要トピック

• Azure AD Connect 同期: 同期を理解してカスタマイズする
• オンプレミスの ID と Azure Active Directory の統合